Itay Huri and Yarden Bidani, deux hommes de 18 ans auraient été arrètés jeudi dernier, dans le cadre d’une enquête du FBI, d’après The Marker.
Ils sont soupçonnés d’être les propriétaires de vDOS, un service d’attaques par déni de service (DDoS) qui leur aurait rapporté plus de 618 000 $ (plus de 550 000 €) en deux ans. Comme vDOS est en service depuis 2012, les propriétaires ont certainement gagné beaucoup plus.
Une attaque par déni de service (denial of service attack), est une attaque informatique ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser, en inondant les serveurs de requêtes illégitimes.
Comme les attaques sont généralement distribuées, en utilisant notamment des armées de PC et de serveurs piratés, il est remarquablement difficile de les contrer, et peu de fournisseurs de services anti-DDOS dans le monde, comme Akamai ou CloudFlare, ont des infrastructures suffisantes pour mitiger les attaques.
vDOS aurait lancé plus de 150,000 attaques en moins de deux ans.
Arroseur arrosé, le service a été piraté, et une base de données contenant des informations sur de nombreuses attaques, leurs victimes et leurs propriétaires, ont été divulguées, notamment au spécialiste de la sécurité Brian Krebs, dont le blogue est une des références de la cybersécurité.
Au moins quatre serveurs de vDOS, hébergés en Bulgarie, ont été piratés. Après enquête, Krebs identifie BackConnect Security comme l’auteur du piratage. Ce que confirme l’entreprise, qui cherchait à se défendre contre une attaque en cours de vDOS.
Fait rare, vDOS se serait vantée par courriel directement à l’entreprise de sécurité d’être à l’origine de l’attaque. Probablement parce que BackConnect offre un service de protection anti-DDoS.
D’après son PDG Bryant Townsend, BackConnect Security aurait subi pendant plus de six heures des attaques à 200 gigabits par seconde.
L’analyse de la base de données conduit Krebs à suspecter que vDOS est à l’origine de plusieurs dizaines « d’années DDoS », soit la comptabilisation du temps perdu; Comme plusieurs attaques contre plusieurs cibles ont souvent lieu simultanément, le temps total perdu est largement supérieur au temps écoulé.
Officiellement, vDOS se présentait comme un service légal de test de résistance à la charge pour les sites Web. Pour Krebs, les nombreuses mesures pour blanchir les revenus ne laissent aucun doute sur les intentions des clients de vDOS.
À une trentaine d’euros par mois, le danger du service est d’avoir démocratisé les attaques DDoS, et de les avoir mis à la portée d’adolescents en colère ou de plus petites entreprises.
Nul doute que l’analyse de la base de données donne lieu à quelques révélations croustillantes dans les prochaines semaines.